Attualità // IL DAZEBAO DELLA SECURITY

L’approccio globale al Travel Risk Management. Dal metodo al modello metodologico

Condividi

“La vera prova di qualsiasi teoria è la sua capacità di prevedere, una volta ottenute abbastanza informazioni. L’unica cosa che nessuna teoria può fare è indicare ciò che andrebbe fatto, perché questo dipende dai valori e dagli scopi”.  [Edward N. Luttwak]

Come abbiamo scritto tempo fa sulle colonne del nostro Dazebao, il D.Lgs. 81/08 è la norma che definisce l’obbligo giuridico della valutazione di tutti i rischi (inclusi quelli di Security). L’art. 15, in particolare, impone al Datore di Lavoro di dotare le aziende di strumenti idonei alla riduzione e, ove possibile, all’eliminazione dei rischi, individuando, al successivo art. 28, l’oggetto della valutazione dei rischi medesimi.

In un passaggio di una nota pronuncia della Corte di Cassazione (Cass. 20 aprile 1998, nr. 4012) si legge:

“In caso di attività aziendale che comporti rischi extra-lavorativi, prevedibili ed evitabili alla stregua dei comuni criteri di diligenza, il Datore di Lavoro che non abbia predisposto gli adeguati mezzi di tutela o li abbia predisposti in misura non idonea, risponde del danno subito dal dipendente” e ancora che “l’obbligo dell’imprenditore di tutelare l’integrità fisiopsichica dei dipendenti impone l’adozione non solo di misure di tipo igienico sanitario o antinfortunistico, ma anche misure atte, secondo le comuni tecniche di sicurezza, a preservare i lavoratori dalla lesione di detta integrità nell’ambiente o in costanza di lavoro in relazioni ad attività, pur se allo stesso non collegate direttamente come le aggressioni conseguenti all’attività criminosa di terzi…”.

Il D.Lgs. 231/01, invece, stabilisce i profili di responsabilità, amministrativi ma di fatto anche “penali” per le imprese nel caso di commissione di reato da parte di sue persone e, quindi, anche nel mancato rispetto del D.Lgs. 81/08 (omicidio colposo, lesioni gravi e gravissime in violazione delle norme sulla sicurezza sul lavoro).

Il dovere di istituire in azienda un efficace modello di organizzazione e gestione, nell’ottica di una corretta identificazione, prevenzione e trattamento dei rischi (ragionevolmente prevedibili), atto ad esimere l’impresa stessa dalla responsabilità amministrativa delle persone giuridiche, rappresenta il “trait d’union” tra le due norme: il D.Lgs. 81/08 (art. 30) e il D.Lgs. 231/01 (art. 6). 

Pertanto, il Datore di Lavoro è responsabile nei confronti delle persone da lui dipendenti, stabilendo un vero e proprio obbligo di protezione. Come spiega anche Umberto Saccone in “Governare il rischio”:

“La responsabilità delle imprese nei confronti delle proprie persone non si esaurisce nel solo territorio nazionale. Il dovere di protezione dell’azienda nei confronti dei dipendenti si estende altresì al personale in missione e a quello in servizio, permanente o temporaneo, in siti propri o esterni, all’estero… Il dovere di protezione in capo al Datore di Lavoro dà il via a un processo di gestione della sicurezza del lavoratore che supera la necessità in materia di salute, integrità fisica e sicurezza, abitualmente riscontrate nel Paese di origine del dipendente… I Datori di Lavoro devono dimostrare di aver adottato misure atte a istruire i propri dipendenti sui rischi, in maniera che questi ultimi siano preparati a farvi fronte in caso di necessità. Essi devono poi monitorare la situazione generale, per individuare i pericoli potenziali e fornire notizie aggiornate alle persone all’estero, su ogni avvenimento suscettibile di costituire un momento critico”. 

In tale quadro, l’attività di Travel Risk Management in Azienda diviene evidentemente un caposaldo irrinunciabile per far fronte a una realtà in continua evoluzione, con riflessi e propaggini di business ovunque.
Appare necessario, dunque, dotarsi di un metodo prima e una metodologia poi in grado di calcolare il rischio globale e conseguentemente gestirlo attraverso l’individuazione e l’adozione di contromisure nei casi di specie.

Il primo passo è rappresentato dalla costituzione, al termine di una lunga e attenta attività di ricerca, della c.d. “Base di Conoscenza”, uno speciale database all’interno del quale confluiscono fonti, letteratura, ecc. per la gestione della conoscenza, appunto.
In ambito Travel, l’analista si imbatte nel concetto di “livello rischio Paese”, il rischio, cioè, di quel Paese oggetto di destinazione del dipendente in trasferta o missione. E siccome uno stesso Paese può presentare situazioni differenti in relazione alle diverse “tipologie di rischio”, il corretto approccio metodologico suggerisce di partire dallo studio delle “fonti” e delle relative classificazioni di rischio, ad esempio quello socio-politico (che fa riferimento ad episodi come il furto, il rapimento o il ferimento di dipendente, ma anche all’instabilità politico-giudiziaria), quello economico (che indica la maggiore o minore strategicità di operazioni di business come investimenti, acquisizioni, fusioni), ecc.

Il secondo concetto in cui si imbatte il nostro analista è quello di “scala di rischio” (prevalentemente di tipo qualitativo).
E così, analizzate le possibili fonti e relative scale, si procederà alla strutturazione delle informazioni raccolte, come in tavola:

tavola tipologia di rischio

Fig. 1  Tavola tipologia rischio - fonte - scala

L’esigenza ulteriore di rendere comparabili le scale per le valutazioni successive, determina la necessità di “normalizzazione” mediante la trasformazione delle singole scale in semi-qualitative (valori numerici), come di seguito riportato:

schema normalizzato

Fig. 2  Schema normalizzazione scale livelli di rischio

Poiché - come esperienza insegna - non tutti i rischi hanno la medesima rilevanza per l’Azienda, si procederà all’assegnazione di un “peso” compreso all’interno di una data scala, ad esempio da 1 a 3 (dove 1 indica un peso poco rilevante e 3 un peso molto rilevante), stabilito in ragione di una serie di criteri fissati in precedenza quali: tipologia di business, finalità dei viaggi all’estero dei dipendenti, periodo di permanenza, ecc.

tabella assegnazione pesi

Fig. 3  Assegnazione pesi per tipologia di rischio

Si giunge così al nodo spinoso dell’individuazione delle contromisure già durante la fase di ricerca e di costituzione della Base di Conoscenza che, opportunamente aggregate in “classi” in base al momento in cui devono essere attuate, cioè se prima, durante il soggiorno o in caso di emergenza, verranno classificate come segue:

tabella contromisure

Fig. 4  Aggregazione contromisure in classi

A mero titolo esemplificativo, la Classe1 concernente la Fase preparatoria potrebbe avere al suo interno contromisure quali: il training del dipendente, la registrazione al sito della Farnesina, ecc.

Cruciale sarà il passaggio successivo caratterizzato dall’incrocio delle contromisure con le tipologie e i relativi livelli di rischio finalizzato all’identificazione delle corrette “pertinenze funzionali”, come riportato in tabella:

matrice rischi-contromisure

Fig. 5  Archetipo pertinenze funzionali. Matrice rischi-contromisure

Laddove le contromisure sono pertinenti, ovvero applicabili, al corrispondente livello della tipologia di rischio, la cella assumerà un colore di intensità crescente, in caso contrario (non applicabile) rimarrà di colore grigio.
In funzione della matrice costruita (in fig. 5), si ottiene la tabella riepilogativa sottostante che sintetizza il numero totale delle contromisure applicabili per ciascun livello e il relativo range (min-max):

tabella riepilogativa

Fig. 6  Tabella riepilogativa contromisure applicabili

Siamo ora nella condizione di poter calcolare il “livello di rischio globale” di ciascun Paese attraverso la media ponderata derivante dalla combinazione delle differenti tipologie di rischio prese in esame e la conseguente creazione di una nuova scala i cui estremi rappresentano il valore di rischio minimo e quello di rischio massimo di un Paese tipo.

tavola valore rischio Paese

Fig. 7  Tavole valore rischio Paese (minimo e massimo)

La nuova scala avrà, quindi, valori compresi tra 2 e 7, tre distinte soglie di rischio (basso-medio-alto) cui corrisponde un set completo di contromisure da adottare:

schema livello rischio globale

Fig. 8  Scala livello di rischio globale Paese

Applicando il modello metodologico a un Paese reale connotato da altrettanto reali livelli di rischio attribuiti dalle fonti, otterremo un preciso indice:

schema indice rischio globale

Fig. 9  Esempio calcolo indice di rischio globale Paese

L’indice elaborato di 5,4 cade evidentemente all’interno della soglia di rischio medio per la quale il nostro modello metodologico prevede, in ottica preventiva e prudenziale, l’adozione di 8 contromisure.

La metodologia illustrata descrive, come si auspica anche Saccone nel suo libro, la gestione un tipico processo di Security che si sostanzia attraverso la ricerca continua della minaccia, l’azione di prevenzione, il monitoraggio delle situazioni di rischio e il governo delle criticità.

di Cristhian Re e Federica Belleggia

Chi è Federica Belleggia?
Federica Belleggia, laurea con lode in Sociologia ricerca sociale e criminologica e Politiche per la sicurezza, ha lavorato presso Ernst & Young, ambito Privacy. Dal 2017 è in A2A nella struttura di Group Security dove svolge attività di ricerca e sviluppo metodologie con particolare riferimento a Travel Risk Management, Risk Analysis, Vulnerabilities Assessment e Project Management.

15.09.2017


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Sicurezza informatica: l’Italia a novembre peggiora nella classifica mondiale dei Paesi più attaccati

I dati del Global Threat Impact Index di novembre di Check Point® Software Technologies Ltd....

Affrontare l'inverno

L’inverno è una stagione che, grazie al freddo e al buio (anche se non li amiamo...

Paolo Vento: la forte presenza di Sicurit in Italia ed all'estero

A Fiera Sicurezza S News incontra Paolo Vento, Amministratore Delegato Sicurit. Forte la...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.